Doute suite à un scan avec "Malwarebytes' Anti-Malware"

IRD93 · Novembre 22, 2008, 9:44

Bonjour,
je viens de faire un scan avec “Malwarebytes’ Anti-Malware” et il me trouve 35 infections. Mais je ne sais pas si il faut les supprimer car ça a l’air d’être des fichiers system pour la plupart. Si quelqu’un peut me conseiller, merci :super:

Voilà le rapport :

Malwarebytes’ Anti-Malware 1.30
Version de la base de données: 1415
Windows 6.0.6001 Service Pack 1

22/11/2008 09:33:29
mbam-log-2008-11-22 (09-33-15).txt

Type de recherche: Examen rapide
Eléments examinés: 44052
Temps écoulé: 2 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 5
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\efcDWOEV.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\tnbqbxfa.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\yayaYRjh.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\urwxrdrs.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\raszpj.dll (Trojan.Vundo.H) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{71fdf530-f87e-40c9-8924-b32769091301} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID{71fdf530-f87e-40c9-8924-b32769091301} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{a838eff9-aba5-463c-aea8-b88431caa03e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID{a838eff9-aba5-463c-aea8-b88431caa03e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID{fded8846-95b0-4005-9e39-9f1720b6815e} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{71fdf530-f87e-40c9-8924-b32769091301} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{a838eff9-aba5-463c-aea8-b88431caa03e} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\44845cce (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{fded8846-95b0-4005-9e39-9f1720b6815e} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\efcdwoev -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\efcdwoev -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\efcDWOEV.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\VEOWDcfe.ini (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\VEOWDcfe.ini2 (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\raszpj.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\tnbqbxfa.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\afxbqbnt.ini (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\yayaYRjh.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\urwxrdrs.dll (Trojan.Vundo.H) -> No action taken.
C:\Windows\System32\byXOhExX.dll (Trojan.Vundo) -> No action taken.
C:\Users\Corto\AppData\Local\Temp\tmp00009c8e (Trojan.Vundo) -> No action taken.
C:\Users\Corto\AppData\Local\Temp\tmp0000bc7a (Trojan.Vundo) -> No action taken.
C:\Users\Corto\AppData\Local\Temp\tmp0000c572 (Trojan.Vundo) -> No action taken.

cricri58 · Novembre 22, 2008, 9:59

Salut
Utilise Vundofix
vundofix.atribune.org…

Vide ta quarantaine dans Malwarebytes ensuite Télécharger CCleaner sur le bureau: Ne le télécharge pas si tu l'as déjà ! [www.ccleaner.com...](http://www.ccleaner.com/download/builds/downloading-slim) Une fois sur le bureau, clic sur l'install de CCleaner. - Mais avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, clique sur "Options", "Avancé" et décoche la case--- "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage". -> Ensuite clique sur l'icone Registre, à droite, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées".

Accepte la sauvegarde, de la BDR (base de registre )qu’il propose .
Je te conseille de le repasser au moins deux fois,( jusqu’à qu’il ne trouve plus d’erreurs.)
redemarres ton PC

Poste un log hijackthis
www.trendsecure.com…

pagesperso-orange.fr…

Apres ceci le temps de regarder ton log hijackthis moi au d autres membres présents

refais une Analyse Compléte avec Malwrebytes ----EN Mode SANS ECHEC +SUPPRESSIONS___poste le rapport
forum.telecharger.01net.com…

cricri58 · Novembre 22, 2008, 10:20

tu feras aussi

activer ou désactiver la Restauration du système
windowshelp.microsoft.com…

IRD93 · Novembre 22, 2008, 10:23

Merci pour ta réponse :super:
Vundofix n’a rien trouvé. Je vais faire comme tu m’a dit, je vais tout mettre en quarantaine avec Malwarebytes et passer un coup de CCleaner.

Voilà le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:19:15, on 22/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Camera Assistant Software for ViewSonic\traybar.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Windows\regx32.exe
C:\Program Files\Clock Tray Skins\ClockTraySkins.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\IcoSauve\IcoSauve.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Camera Assistant Software for ViewSonic\CEC_MAIN.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Users\Corto\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM…\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM…\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM…\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry
O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [Camera Assistant Software] “C:\Program Files\Camera Assistant Software for ViewSonic\traybar.exe”
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe”
O4 - HKLM…\Run: [Look ‘n’ Stop] “C:\Program Files\Soft4Ever\looknstop\looknstop.exe” -auto
O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” /hide /waitservice
O4 - HKLM…\Run: [TrialReset] C:\Windows\regx32.exe
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [44845cce] rundll32.exe “C:\Windows\system32\tnbqbxfa.dll”,b
O4 - HKLM…\Run: [MSServer] rundll32.exe C:\Windows\system32\yayaYRjh.dll,#1
O4 - HKCU…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU…\Run: [SkinClock] C:\Program Files\Clock Tray Skins\ClockTraySkins.exe
O4 - HKCU…\Run: [RocketDock] “C:\Program Files\RocketDock\RocketDock.exe”
O4 - HKCU…\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘SERVICE RÉSEAU’)
O4 - Startup: IcoSauve.lnk = C:\Program Files\IcoSauve\IcoSauve.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &D&ownload &with BitComet - C:\Program… Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - C:\Program… Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - C:\Program… Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - C:\Program… Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O17 - HKLM\System\CCS\Services\Tcpip…{A692829C-3BE1-44B4-B0F1-5E6A8BBA6FB6}: NameServer = 193.252.19.3,193.252.19.4
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: raszpj.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\Windows\system32\CTsvcCDA.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de liPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

–
End of file - 8088 bytes

guigui14100 · Novembre 22, 2008, 10:27

Salut

Dans Hijackthis coche:

puis clique sur fixed checked

Met a jour MBAM et ton antivirus, démarre en mode sans échec et lance un scan complet avec les deux

cricri58 · Novembre 22, 2008, 11:13

Fais ce que guigui tas dis et Malwarebytes comme d ecris plus haut

IRD93 · Novembre 22, 2008, 1:53

C’est bon, merci à vous :super:
J’ai coché les 2 lignes avec HijackThis, puis j’ai tout mis en quarantaine avec Malwarebytes. Et j’ai fini en lançant un scan avec Nod32 qui m’a trouvé lui aussi 2 merdes. Et ça à l’air bon. Depuis ce matin quand je lançais Firefox j’avais droit toutes les 2 minutes à XP antivirus 2008 et toutes les merdes du même genre, là plus rien.
Je vais finir par un petit CCleaner.

Merci
Edité le 22/11/2008 à 13:56

cricri58 · Novembre 22, 2008, 2:18

salut
je t avis marqué plus haut de supprimer la quarantaine dans Malwarebytes___Fais !

puis
activer ou désactiver la Restauration du système
windowshelp.microsoft.com…

et fais ccleaner

Télécharger CCleaner sur le bureau:
Ne le télécharge pas si tu l’as déjà !
www.ccleaner.com…
Une fois sur le bureau, clic sur l’install de CCleaner.

Mais avant de cliquer sur le bouton “installer”, décoche toutes les “options supplémentaires”.
Ensuite, clique sur “Options”, “Avancé” et décoche la case—
“Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures”.
Clique sur l’onglet “Nettoyeur” puis sur “Lancer le Nettoyage”.
-> Ensuite clique sur l’icone Registre, à droite, clique sur “Chercher des erreurs” puis sur “Réparer les erreurs sélectionnées”.

Accepte la sauvegarde, de la BDR (base de registre )qu’il propose .
Je te conseille de le repasser au moins deux fois,( jusqu’à qu’il ne trouve plus d’erreurs.)
redemarres ton PC

IRD93 · Novembre 22, 2008, 8:38

C’ets bon j’ai tout fait, j’ai vidé la quarantaine de Malwarebytes et passé un coup de CCleaner.

Merci

cricri58 · Novembre 22, 2008, 8:39

si t as un soucis reviens :hello: